ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
[TLP:WHITE] Update ข้อมูลเพิ่มเติมของช่องโหว่หมายเลข CVE-2021-34527 PrintNightmare
8 ก.ค.64
ศูนย์ TTC-CERT ขอ Update ข้อมูลเพิ่มเติมของช่องโหว่หมายเลข CVE-2021-34527 โดยวันนี้ (8 ก.ค.64) บริษัท ไมโครซอฟท์ ได้ออกแพตช์สำหรับแก้ไขช่องโหว่ดังกล่าว สำหรับระบบปฏิบัติการ Windows ทุก Version แล้ว และได้ออกแพตช์เพิ่มเติมสำหรับ Windows 10 Version 1607, Windows Server 2016 และ Windows Server 2012 เป็นที่เรียบร้อยแล้ว รายละเอียดที่ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
แต่อย่างไรก็ตาม มีข้อมูลจากแหล่งข่าวเปิดได้รายงานว่า มีนักวิจัยด้าน Cybersecurity ทำการศึกษาและทดสอบแพตช์ดังกล่าว พบว่า ยังสามารถโจมตีช่องโหว่ดังกล่าวได้[1] ถึงแม้ว่าจะติดตั้งแพตช์ดังกล่าวที่ออกโดย บริษัท ไมโครซอฟท์ ทั้งในรูปแบบ local privilege escalation (LPE) และ remote code execution (RCE) ซึ่งนักวิจัยด้าน Cybersecurity ยังระบุว่าสามารถโจมตีช่องโหว่ดังกล่าวแบบ remote code execution (RCE) ได้หากมีการเปิดใช้งาน(enable) Point and Print Restrictions[2] อย่างไรก็ตามค่าเริ่มต้น(default) ของการกำหนด Point and Print Restrictions ของ Windows ได้ถูกกำหนดให้เป็น Disabled อยู่แล้ว[3] ทั้งนี้ บริษัท ไมโครซอฟท์ กำลังตรวจสอบรายละเอียดในกรณีนี้อยู่และจะแจ้งให้ทราบในรายละเอียดและการแก้ไขต่อไป
ศูนย์ TTC-CERT แนะนำให้หน่วยงานของสมาชิกติดตั้งแพตช์สำหรับแก้ไขช่องโหว่ CVE-2021-34527 นี้ทันที ทั้งนี้ การติดตั้งแพตช์ หรือ Security Updates หรือ ซอฟต์แวร์ต่าง ๆ เพื่อแก้ไขช่องโหว่ดังกล่าว สมาชิกควรปฎิบัติตาม Change Management Policy ของหน่วยงานอย่างเคร่งครัด
อย่างไรก็ตามในขณะที่รอความชัดเจนจาก บริษัท ไมโครซอฟท์ หลังจากติดตั้งแพตช์สำหรับแก้ไขช่องโหว่ CVE-2021-34527 แล้ว ศูนย์ TTC-CERT แนะนำให้สมาชิกทำการ Monitor ระบบของตนเองอย่างเข้มงวดโดยควรปฏิบัติตาม “วิธีแก้ปัญหาชั่วคราว” และ “วิธีตรวจสอบว่าหน่วยงานถูกโจมตีหรือได้รับความเสียหายจากการถูกโจมตี” ที่ระบุในเอกสารการแจ้งเตือนในเรื่องเดียวกันนี้ทั้ง 2 ฉบับ คือ
(1) 25640701 [TLP:WHITE] แจ้งเตือนช่องโหว่ชนิด zero-day ที่มีความรุนแรงระดับร้ายแรง (critical) Windows Print Spooler Remote Code Execution Vulnerability
(2) 25640702 [TLP:WHITE] Update ข้อมูลเพิ่มเติมของช่องโหว่หมายเลข CVE-2021-34527 PrintNightmware
ข้อมูลอ้างอิง
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
- https://support.microsoft.com/en-us/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7
- https://twitter.com/gentilkiwi/status/1412771368534528001
- https://twitter.com/wdormann/status/1412813044279910416
- https://www.bleepingcomputer.com/news/microsoft/microsofts-incomplete-printnightmare-patch-fails-to-fix-vulnerability/
- https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.Printing::PointAndPrint_Restrictions
/
[1] "Benjamin Delpy on Twitter: "Dealing with strings & filenames is hard ...." 8 Jul. 2021, https://twitter.com/gentilkiwi/status/1412771368534528001?ref_src=twsrc%5Etfw. Accessed 8 Jul. 2021.
[2] "Will Dormann (@wdormann) / Twitter." https://twitter.com/wdormann/status/1412813044279910416. Accessed 8 Jul. 2021.
[3] "Point and Print Restrictions - Group Policy Home." https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.Printing::PointAndPrint_Restrictions. Accessed 8 Jul. 2021.